Myter om GDPR

Databeskyttelsesforordningen har givet anledning til en række myter om, hvad reglerne betyder i praksis - her har vi samlet en del af dem og givet dem et par ord med på vejen.

Nej - samtykke er et af flere retlige grundlag for at behandle personoplysninger. Grundlaget kan fx også været at opfylde en kontrakt eller en retlig forpligtelse. Læs mere om retlige grundlag her.

Nej, det vil normalt være helt i orden at have en liste over folks fødselsdage - Datatilsynet har faktisk selv sådan en liste på intranettet! Men hvis en kollega ikke ønsker fx sin fødselsdato delt med andre, skal man lave en ny vurdering ift. delingen af denne persons oplysninger.

Nej, ikke altid - man kan fx ikke bare bede Skattestyrelsen om at slette, hvad de har registreret om en. Dataansvarlige skal ifølge GDPR slette personoplysninger, når ét af disse forhold gør sig gældende:

  1. Det er ikke længere nødvendigt for dig at have oplysningerne om den registrerede af hensyn til de formål, hvormed du indsamlede oplysningerne.
  2. Du har baseret din behandling på et samtykke, og den registrerede trækker nu sit samtykke tilbage, og du har samtidig ikke en anden hjemmel for behandlingen.
  3. Du behandler oplysningerne ulovligt (uden hjemmel i databeskyttelsesforordningens kapitel II)
  4. Du er forpligtet til at slette oplysningerne som følge af EU-lovgivning eller national lovgivning i en medlemsstat.
  5. Du er forpligtet til at slette oplysningerne som konsekvens af, at den registrerede udøver sin ret til indsigelse (for mere om denne rettighed se afsnit 9).
  6. Du er udbyder af en informationssamfundstjeneste (f.eks. et socialt netværk), og du har baseret din behandling af personoplysninger om en registreret på et samtykke givet af den registreredes forældremyndighedsindehavere, og den registrerede tilbagekalder nu selv samtykket efter at være fyldt 13 år.

Læs mere om retten til sletning her.

Nej, i udgangspunktet bliver man ikke godkendt eller får tilladelse af os. I nogle meget få tilfælde skal man indhente Datatilsynets tilladelse til behandling af personoplysninger, men normalt er det den enkelte dataansvarliges opgave at sørge for at leve op til reglerne i GDPR.

Det er ganske rigtigt en dårlig idé at registrere, hvilke medarbejdere der er muslimer eller ikke kan tåle skaldyr. Men der er intet galt i at spørge, om der er noget, folk ikke spiser - så kan det dække over både tro, helbred og det, at man virkelig bare ikke bryder sig om sild. 

Nej, som udgangspunkt er det helt fint at dele deltagerlister ud til deltagerne. Man skal bare huske oplysningspligten og fx fortælle deltagerne ved tilmeldingen, at man vil dele deres oplysninger med de andre deltagere - så har man også mulighed for at sige fra, hvis man ikke ønsker at optræde på sådan en liste.

Nej, GDPR bliver håndhævet på flere måder. Fysiske tilsynsbesøg er en af dem, men en klage til Datatilsynet eller et brud på persondatasikkerheden kan også i nogle tilfælde udløse en sanktion - fx forbud, påbud eller indstilling til bøde.

Nej, man skal lave en databehandleraftale, når aftalen mellem de to parter først og fremmest drejer sig om behandling (indsamling, opbevaring, sletning mv.) af personoplysninger. Men hvis der bliver behandlet personoplysninger i forbindelse med fx en håndværksydelse, er det normalt ikke nødvendigt med en databehandleraftale. Læs mere og se flere eksempler her.

Nej, det er ikke tilstrækkeligt bare at henvise til sin privatlivspolitik. Ifølge GDPR skal du nemlig give kunden en gratis kopi af de personoplysninger, som du måtte behandle om hende, samt en række oplysninger om behandlingen, bl.a. hvordan og hvorfor du behandler dem. Læs mere om dine forpligtelser som dataansvarlig her.

Nej, i mange tilfælde bør man som dataansvarlig også orientere de registrerede - dvs. fx de kunder eller borgere, hvis oplysninger kan være kommet i de forkerte hænder. Læs mere om underretning af de registrerede her.

Nej, databeskyttelsesforordningen indeholder ingen facitlister for, hvornår man skal slette personoplysninger - slettefrister afhænger altid af en konkret vurdering. Der kan dog være anden lovgivning (fx forvaltningsloven eller bogføringsloven), der angiver, hvor længe en bestemt type oplysning som minimum skal gemmes. Du kan læse mere om sletning og slettefrister her. 

Nej, Datatilsynet i Danmark kan ikke selv udstede bøder. I de tilfælde, hvor vi vurderer, at en bøde er en passende sanktion for overtrædelse af reglerne om databeskyttelse, kommer vi med en politianmeldelse og en indstilling til bøde. Herefter går politiet videre med sagen, som normalt vil blive afgjort ved en domstol.

Nej, for selvom ovenstående overvejelser kan være gode at gøre sig, er formålet med GDPR at beskytte borgernes oplysninger. Det betyder, at en risikovurdering primært skal tage sig af den registreredes (altså borgerens, kundens mv.) sikkerhed – ikke virksomhedens. Det kunne fx være risikoen for, at personoplysninger bliver delt med uvedkommende. Det kan du lære mere om på denne emneside og i denne podcastepisode

Ikke som det første, nej. Når du gerne vil bruge dine rettigheder og fx bede en virksomhed slette nogle oplysninger om dig, bør du nemlig som udgangspunkt først kontakte virksomheden og anmode om, at oplysningerne bliver slettet. Imødekommer virksomheden ikke din anmodning, kan du klage til os - læs mere om at klage her.

Nej, det er ikke helt rigtigt. Generelt bør følsomme oplysninger om fx helbred ikke sendes pr. sms, fordi det ikke er en sikker kommunikationsform. Men hensynet til databeskyttelse kan i en helt konkret sag veje mindre end hensynet til fx den udsatte borgers liv og helbred. I nogle særlige tilfælde må kravene til databeskyttelse i GDPR derfor vige for mere tungtvejende hensyn til borgeren, fx baseret på socialfaglige eller lægelige skøn. Afvigelsen fra reglerne i GDPR skal dog ske på baggrund af en konkret vurdering, og overvejelserne skal være dokumenteret. Læs mere i denne artikel, hvor jurist og it-sikkerhedsspecialist i Datatilsynet Allan Frank forklarer om afvejningen af hensynet til borgerens samlede rettigheder.

Jo, det vil normalt være helt i orden at have en vagtplan hængende i frokoststuen, hvor det kun er virksomhedens egne medarbejdere, der færdes.

Nej, Datatilsynet har hverken adgang til al data om borgere i Danmark eller til alle databehandleraftaler. Datatilsynets opgave er at rådgive og vejlede om reglerne for databeskyttelse, at behandle klager over overtrædelse af reglerne, og at gennemføre tilsyn hos myndigheder og virksomheder. Med andre ord er det Datatilsynets opgave at føre tilsyn med, at dem, der behandler personoplysninger, gør det i overensstemmelse med de databeskyttelsesretlige regler.

Nej, Datatilsynet udformer ikke nogen love – heller ikke angående databeskyttelse. Datatilsynets opgave er at rådgive og vejlede om de vedtagne regler for databeskyttelse, at behandle klager fra borgere om brud på reglerne og at gennemføre tilsyn med, at reglerne overholdes – ikke at lave reglerne. Reglerne for databeskyttelse i Danmark udgøres bl.a. af GDPR, som er vedtaget i EU af Parlamentet og Rådet, og af den danske databeskyttelseslov, der er vedtaget af Folketinget og supplerer GDPR.

Nej, når en virksomhed indhenter dit samtykke til at behandle dine oplysninger til et bestemt formål, må de kun bruge dine oplysninger til det formål. Hvis virksomheden senere ønsker at behandle dine oplysninger til et andet formål, kan de ikke bare genbruge dit tidligere samtykke - det gælder nemlig kun til det først angivne formål, og derfor skal de indhente dit samtykke på ny til det nye formål. Læs mere om samtykke og de andre behandlingsgrundlag her.

Jo, GDPR gælder for behandling af alle typer personoplysninger – både almindelige personoplysninger, som fx navn, adresse og tlf.nr, og følsomme personoplysninger, som fx helbredsoplysninger, etnisk oprindelse og politisk overbevisning. Begrebet personoplysning er ret bredt defineret og omfatter enhver form for information, der kan henføres til en bestemt person, også selvom personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger. Hvis man som organisation behandler sådanne typer af oplysninger, skal man sikre sig, at man gør det i overensstemmelse med GDPR.

Læs mere om, hvornår du behandler personoplysninger her og giv vores podcastafsnit om personoplysninger et (gen)lyt her.  

Jo, det må man som udgangspunkt gerne. En afgørende overvejelse i en sådan situation er, om formålet med at behandle oplysningerne til at sende jubilæumsinvitationer ud falder inden for foreningens ”almindelige aktiviteter”. Det betyder, at de er i overensstemmelse med det oprindelige og ikke mindst legitime formål, som oplysningerne blev indsamlet under, da de pågældende medlemmerne meldte sig ind i foreningen. Det vil som udgangspunkt heller ikke være i de tidligere medlemmers interesse, hvis foreningen undlod at behandle deres oplysninger og ikke sendte dem en invitation.

Nej, reglerne for databeskyttelse stiller ikke specifikt krav om, at man skal have en persondatapolitik. Men en persondatapolitik kan være nyttig at have alligevel, fordi den kan hjælpe den dataansvarlige med at leve op til nogle af de principper og krav, som GDPR stiller. Fx kan en god persondatapolitik bidrage til at øge den generelle gennemsigtighed af, hvordan brugerenes oplysninger behandles.

Du kan høre meget mere om, hvordan man laver en god persondatapolitik i denne episode af Datatilsynets podcast om GDPR.

 

Jo, det må de gerne - det er ikke en følsom oplysning at gå på efterskole, og skiltene tjener et sagligt formål.

Nej, selv om billedet er taget i børnehaven, er det forælderen, der har lagt billedet op på sin egen profil, og derfor er det forælderen, der er ansvarlig for behandlingen af personoplysninger. Her kan du læse mere og se en kort film om, hvad man skal tænke over, hvis man vil offentliggøre billeder på nettet.

Denne myte er lidt databeskyttelses-nørdet og drejer sig om en betegnelse for personoplysninger, vi ofte støder på, men som kan være en smule misvisende; nemlig "personfølsomme oplysninger". Betegnelsen kan give anledning til misforståelser, fordi det er uklart, hvilken type af personoplysninger der er tale om. Reglerne om databeskyttelse skelner nemlig overordnet set to mellem kategorier af personoplysninger - almindelige personoplysninger (fx navn og adresse) og følsomme personoplysninger (fx oplysninger om helbred, tro, seksualitet o.l.). Begge typer er omfattet af reglerne, men det er vigtigt at kunne skelne imellem dem, fordi kategorien af personoplysninger har betydning for, hvordan man skal behandle oplysningerne. Læs mere om personoplysninger her og giv vores podcastafsnit om emnet et (gen)lyt her.

Nej, så længe oplysningerne er nødvendige for psykologens arbejde, er det en rigtig god idé at registrere dem i systemet, som jo er beregnet til netop det - også af hensyn til bl.a. kommunens journaliseringspligt.

Nej, skoler kan sagtens fortsætte traditionen med klasse- og årgangsbilleder. Myndigheder må nemlig gerne behandle billeder, når det er nødvendigt for udførelsen af deres opgaver, og brug af gruppe- og klassebilleder har altid haft en grundlæggende betydning for skoler.

Jo, det kan man sagtens! Det er fuldstændig sagligt, fordi det tjener det formål, at slagteren kan levere det rigtige produkt til den rigtige kunde.

Nej, reglerne i databeskyttelsesforordningen gælder også dataansvarlige fra resten af verden, som fx sælger varer eller ydelser til EU-borgere. Læs mere på Datatilsynets side "Danmark, EU og resten af verden"

Det kommer an på bruddet. Hvis personoplysninger f.eks. har været eksponeret for uvedkommende, så kan uvedkommende stadig være i besiddelse af dem, selv om bruddet er standset – reelt til evig tid. Risikoen kan derfor bestå, og der kan være krav om at underrette de registrerede. Afhængig af hvilke personoplysninger, der er tale om, kan det også være nødvendigt fremover at tage hensyn til denne mulighed for, at uvedkommende i al fremtid er i besiddelse af personoplysningerne.

Læs mere om pligten til at anmelde og underrette de registrerede i tilfælde af et brud mv. i Datatilsynets vejledning om håndtering af brud på persondatasikkerheden. Du kan også høre Datatilsynets podcast-episode om sikkerhedsbrud.

Jo, det må man som udgangspunkt gerne.Oplysninger om navn og adresse er som udgangspunkt hverken følsomme eller fortrolige personoplysninger, og derfor vil risikoen for den registrerede (den der videregives oplysninger om) som regel være forholdsvist lille, hvorfor e-mailen ikke behøver at være krypteret. Man skal dog være opmærksom på, at en kombination af navn og adresse kan være en fortrolig oplysning, f.eks. hvis personen har navne- og adressebeskyttelse i cpr-registeret.

Her kan du læse mere om transmission af personoplysninger via e-mail.

Jo, i sådan et tilfælde skal I stadig være opmærksomme på GDPR. Reglerne for databeskyttelse finder nemlig anvendelse, da der stadig er tale om personoplysninger. Selv om oplysninger som et navn eller en adresse er erstattet af en kode, fx AB123, er det stadig en personoplysning, hvis koden kan føres tilbage til den oprindelige personoplysning. Det er tilfældet, så længe der er nogen, der kan gøre oplysningerne læsbare og identificere de personer, det drejer sig om. Dette kaldes ofte pseudonymiserede oplysninger, og sådanne oplysninger er omfattet af databeskyttelsesreglerne. Oplysninger er kun anonyme, og derved ikke beskyttet af databeskyttelsesreglerne, hvis ingen fysiske personer kan identificeres ud fra oplysningerne eller i kombination med andre oplysninger – og hvis anonymiseringen er uigenkaldelig.

Læs mere om anonymisering og pseudonymisering af personoplysninger på Datatilsynets side Hvad er personoplysninger?

 

Flere på vej på LinkedIn

Du kan løbende følge med i myterne om GDPR på Datatilsynets side på LinkedIn, hvor vi under navnet MANDAGSMYTEN hver uge tager en myte op.